阿里云AccessKey泄露以及nacos1.4.2漏洞修复

起因:每隔一段时间阿里云就会报AccessKey泄露了,但是并没有在代码中写AccessKey,后来发现在nacos中多了个新用户,是之前没有添加过的

排查:

1.检查是否开启了鉴权

查看配置文件application.properties

复制代码
# 是否开启授权
nacos.core.auth.enabled=true

开启授权为true,无需修改,排除

2.检查是否使用默认的token.secret.key

复制代码
# 默认访问密钥
nacos.core.auth.default.token.secret.key={需要修改}

也已经修改了(默认值为:SecretKey012345678901234567890123456789012345678901234567890123456789),且使用了默认值构造JWT来调用接口/nacos/v1/auth/users?pageNo=1&pageSize=9,调用失败,证明也不是这个默认值的问题,排除

3.检查是否因为请求头添加了参数User-Agent: Nacos-Server

报权限错误,排除

4.真正原因,默认的serverIdentity和security

就没有修改或者配置这两个值,导致可以使用这两个值来进行新增用户的调用

复制代码
# 这两个值就是个serverIdentity和security,如果没有配置,其默认值也是serverIdentity和security
nacos.core.auth.server.identity.key=serverIdentity
nacos.core.auth.server.identity.value=security

尝试调用:

获取用户:调用成功

新增用户:成功

解决方法:设置这两个配置的值,不使用默认值

复制代码
nacos.core.auth.server.identity.key={新的值}
nacos.core.auth.server.identity.value={新的值}

设置了新的值之后:新增用户失败了

至此,解决了

相关推荐
是乐谷10 小时前
阿里云杭州 AI 产品法务岗位信息分享(2025 年 8 月)
java·人工智能·阿里云·面试·职场和发展·机器人·云计算
青岛佰优联创新科技有限公司12 小时前
移动板房的网络化建设
服务器·人工智能·云计算·智慧城市
夕阳与风馨13 小时前
三分钟搞懂云计算三大模型:SaaS、PaaS、IaaS 是怎么在业务中“各司其职”的?
后端·云计算
玩转以太网14 小时前
3 种方式玩转网络继电器!W55MH32 实现网页 + 阿里云 + 本地控制互通
网络·物联网·阿里云
weixin_3077791318 小时前
AWS Lambda解压缩S3 ZIP文件流程
python·算法·云计算·aws
运维行者_1 天前
使用Applications Manager进行 Apache Solr 监控
运维·网络·数据库·网络安全·云计算·apache·solr
Britz_Kevin3 天前
从零开始的云计算生活——激流勇进,kubernetes模块之Pod资源对象
kubernetes·云计算·生活·#pod
阿湯哥3 天前
Cloud Computing(云计算)和Sky Computing(天空计算)
云计算
数据智能老司机3 天前
基于 Kubernetes 的平台工程——Kubernetes 上的平台化浪潮
kubernetes·云计算·devops
数据智能老司机3 天前
图算法趣味学——桥和割点
数据结构·算法·云计算